SPF|情報処理安全確保支援士試験 令和4年秋期午前Ⅱ 問15
出典:令和4年秋期 午前Ⅱ 問15
分野:セキュリティ / セキュリティ実装技術
SPFによるドメイン認証を実施する場合,SPFの導入時に,電子メール送信元アドレスのドメイン所有者側で行う必要がある設定はどれか。
- ア:DNSサーバにSPFレコードを登録する。
- イ:DNSの問合せを受け付けるポート番号を変更する。
- ウ:メールサーバにデジタル証明書を導入する。
- エ:メールサーバのTCPポート25番を利用不可にする。
TSUNAGARU-ADVICE
まず押さえたいこと
SPFは、送信元ドメインの所有者が、正当なメール送信サーバをDNSに登録しておく仕組みです。導入時には、DNSサーバにSPFレコードを登録する必要があります。
迷ったときの判断軸
SPFでは、受信側メールサーバが送信元IPアドレスを確認し、そのIPアドレスが送信元ドメインのDNSに登録されたSPFレコードに含まれているかを検証します。デジタル証明書やポート番号の変更ではなく、DNSに正当な送信元を示す情報を登録する点で判断できます。
科目Bにつなげるために
科目Bでは、SPF・DKIM・DMARCなどのメール認証技術を組み合わせて問われることがあります。SPFは、送信元ドメインのDNS情報を使って送信元IPアドレスの正当性を確認する仕組みとして整理しておきましょう。
SPF(Sender Policy Framework)は、送信元メールアドレスのドメインと、実際に接続してきたメールサーバのIPアドレスが正しい組合せかを確認する仕組みです。
簡単にいうと、「このドメインのメールを送ってよいサーバはどれか」をDNSに登録しておき、受信側がそれを確認する仕組みです。
SPFの流れは、次のとおりです。
たとえば、example.comのメールを送ってよいサーバがDNSに登録されていれば、受信側は「このメールはexample.comが許可したサーバから送られているか」を確認できます。
SPFを使うには、送信側ドメインの所有者が、あらかじめDNSサーバにSPFレコードを登録しておく必要があります。
つまりSPFは、「送信元ドメインが許可したメールサーバから送られているか」をDNS情報で確認し、なりすましメールを見分けやすくする技術です。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:DNSの問合せを受け付けるポート番号を変更する。
⇒SPFは、DNSに登録されたSPFレコードを参照して送信元の正当性を確認する仕組みです。DNSのポート番号を変更する必要はなく、ポート番号変更はSPF導入の設定内容ではありません。
ウ:メールサーバにデジタル証明書を導入する。
⇒メールサーバのデジタル証明書は、TLSによる通信暗号化やサーバ認証などに関係します。SPFは、送信元IPアドレスがDNS上で許可されているかを確認する仕組みであり、デジタル証明書を用いた認証方式ではありません。
エ:メールサーバのTCPポート25番を利用不可にする。
⇒TCPポート25番は、SMTPでメールを配送するときに使われる代表的なポートです。ポート25番を利用不可にすることは、SPFによる送信元ドメイン認証の導入設定ではありません。SPFでは、DNSに送信を許可するメールサーバの情報を登録します。